开源风险管理正在改善,但仍是大多企业的挑战
15年来,全球许多安全、开发和法律团队依靠BlackDuck解决方案(黑鸭)帮助他们管理开源使用带来的风险。黑鸭软件组件分析解决方案和开源审计为企业提供了追踪代码中的开源,降低安全性和许可合规风险,并使用现有的DevOps工具和流程自动实施开源策略。黑鸭软件公司现在隶属新思科技。基于这些真实的数据,新思科技分析和总结出一份报告,为业界提供参考。
美国新思科技公司近日发布了《2019年开源安全和风险分析》(OSSRA)报告。该报告由新思科技网络安全研究中心(CyRC)制作,审查了由黑鸭审计服务团队执行的超过1200个商业应用程序和库的审计结果。报告重点介绍了开源应用的趋势和模式,以及不安全的开源组件和许可证冲突的普遍性。
报告显示,现在企业面临着开源应用风险管理的挑战,这些难题在过去几年就已经有苗头了。然而,数据还表明现在已经达到了一个拐点,由于风险意识和商业软件组件分析解决方案成熟度的提高,许多企业提升了其管理开源风险的能力。
新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“开源在现代软件开发和部署中发挥着越来越重要的作用,但要实现其价值,企业需要从安全性和许可证合规的角度来理解和管理它如何影响其风险态势。2019年OSSRA报告提供了商业应用程序中开源风险管理的状况概览。报告表明现在仍然存在重大挑战,绝大多数的应用程序包含开源安全漏洞和许可证冲突,但同时也强调这些挑战是可以解决的,因为开源漏洞和许可证冲突的数量与去年相比有所下降。”
2019年OSSRA报告中最值得注意的开源风险趋势包括:
报告显示开源软件的使用本身并不是问题,实际上这对软件创新至关重要。但是未能积极主动地鉴别和管理任何与开源组件使用有关的安全和许可证风险,可能极具破坏性。虽然风险因素仍然存在,2019年OSSRA报告数据表明,在Equifax数据泄露之后,开源风险意识的提高和商业软件组件分析解决方案的成熟度已经取得了进展:
好文章,需要你的鼓励
Snap 推出 Lens Studio 的 iOS 应用和网页工具,让所有技能层次的用户都能通过文字提示和简单编辑,轻松创建 AR 镜头,包括生成 AI 效果和集成 Bitmoji,从而普及 AR 创作,并持续为专业应用提供支持。
罗切斯特理工学院和美国陆军研究实验室的研究团队开发了一种突破性的无源域适应方法,通过混搭拼图增强技术和置信度-边界加权策略,使AI模型能在没有原始训练数据的情况下适应新环境。该方法在三个主要基准数据集上取得显著成果,特别是在PACS数据集上准确率提升了7.3%,为AI系统在隐私保护、安全限制等现实场景中的应用提供了新解决方案。
这篇论文介绍了R1-Code-Interpreter,一种通过有监督学习和强化学习训练大型语言模型进行代码推理的新方法。研究团队收集了144个推理和规划任务,利用多轮训练教会模型自主决定何时使用文本推理或生成代码。最终的14B模型在测试集上将准确率从44.0%提高到64.1%,超过纯文本GPT-4o并接近带Code Interpreter的GPT-4o。研究揭示了SFT阶段的关键作用,并发现模型展现出自发的自我检查行为,为开源模型提供了与商业模型竞争的代码解释器能力。